保護Terraform狀態檔案中的敏感資料

本節討論用於處理Terraform狀態檔案 (稱為) 中敏感資料的秘密和指標的混淆。tfstate通常，這是一個純文字檔案，其中包含有關Terraform部署的資料，其中包含有關已部署基礎結構的任何敏感和非敏感資料。在Terraform狀態檔案中，機密資料會以純文字顯示。若要協助保護機密資料，請執行下列動作：

• 擷取秘密時，選擇立即旋轉密碼。如需詳細資訊，請參閱AWS Secrets Manager秘密管理員說明文件中的立即輪換密碼。

• 將Terraform狀態檔案儲存在您操作 Secrets Manager AWS 帳戶 的集中式位置。將檔案存放在 Amazon Simple Storage Service (Amazon S3) 儲存貯體中，並設定限制其存取的政策。如需詳細資訊，請參閱 Amazon S3 文件中的儲存貯體政策和使用者政策。

• 使用 Amazon DynamoDB 料表來保持Terraform狀態檔案鎖定狀態。這有助於防止文件損壞。如需詳細資訊，請參閱Terraform文件中的 S3 後端。